Observação:

• Este tutorial requer acesso ao Oracle Cloud. Para se inscrever e obter uma conta gratuita, consulte Conceitos Básicos do Oracle Cloud Infrastructure Free Tier.
• Ele usa valores de exemplo para credenciais, tenancy e compartimentos do Oracle Cloud Infrastructure. Ao concluir seu laboratório, substitua esses valores por valores específicos do seu ambiente de nuvem.

Envie logs do Oracle Cloud Infrastructure para o Microsoft Azure Sentinel usando o serviço OCI Streaming

Introdução

Os serviços da plataforma Oracle Observability and Management permitem que os clientes monitorem, analisem e gerenciem aplicativos e ambientes de infraestrutura multicloud com visibilidade de pilha completa, análise predefinida e automação. O serviço Oracle Cloud Infrastructure Streaming fornece uma solução totalmente gerenciada, escalável e durável para ingestão e consumo de streams de dados de alto volume em tempo real. Os dados do Streaming são criptografados no armazenamento e em trânsito.

O Microsoft Azure Sentinel é uma plataforma de gerenciamento de eventos e informações de segurança nativas da nuvem (SIEM) fornecida pelo Microsoft Azure. Neste tutorial, analisaremos o processo de transferência de logs do OCI Audit para o Microsoft Azure Sentinel usando o serviço Oracle Cloud Infrastructure Streaming (OCI Streaming).

Objetivo

Transfira logs do OCI Audit para o Microsoft Azure Sentinel usando o serviço OCI Streaming.

Pré-requisitos

• Acesso à tenancy do OCI
• Privilégios para gerenciar fluxos, logs e hub do conector de serviço no OCI
• Acesso à tenancy do Azure
• Privilégios para ativar e configurar o Azure Sentinel

Tarefa 1: Gerar uma Chave de Assinatura da API no OCI

O par de chaves pública/privada da API pode ser gerado usando a console do OCI. Se você já tiver um par de chaves, poderá fazer upload da chave pública.

• Na página de destino do OCI, navegue até Perfil, Definições do usuário, Chaves de API, Adicionar Chave de API.

• Depois de adicionar a chave, um trecho de código de visualização do arquivo de configuração é gerado. Precisaremos desses detalhes para autenticar o aplicativo Azure para extrair mensagens do OCI Stream.

Tarefa 2: Criar um Fluxo no OCI

1. Para criar um Fluxo, na home page do OCI, navegue até Análise e IA, Mensagens, Streaming.

2. Clique em Pools de Streams e crie um pool de Streams público. Para criptografia, você pode usar chaves gerenciadas pela Oracle ou escolher uma chave de um vault ao qual tem acesso.

   

   

3. Clique em Streams, Criar Stream. Especifique os detalhes do compartimento necessário. Selecione o pool de Fluxos que criamos na Etapa 2. As definições do Stream podem ser deixadas para usar valores padrão.

   

Tarefa 3: Criar um Hub Conector do Serviço no OCI

O OCI Service Connector Hub ajuda a transferir dados entre serviços dentro do OCI. Criaremos um Conector de Serviço para transferir logs de Auditoria do serviço OCI Logging para o OCI Streaming.

1. Clique no menu Navegação e selecione Observabilidade e Gerenciamento, Log, Conector de serviço, Criar conector de serviço.

2. Forneça os detalhes necessários. A origem deve ser "Logging" e o destino deve ser "Streaming".

3. Selecione Auditoria para o grupo de logs.

   Observação: para o escopo deste tutorial, só estamos enviando logs de Auditoria ao Sentinel. Por padrão, os logs de auditoria são ativados em cada compartimento. Se outros logs de serviço do OCI ou logs personalizados precisarem ser transferidos, consulte a documentação do OCI Logging do processo para ativá-los e usá-los.

4. Opcionalmente, você pode fornecer um filtro de log para enviar apenas os tipos de log selecionados.

5. Em configurar o destino, selecione o fluxo que criamos.

6. Crie as políticas padrão que aparecem na tela e clique em Criar.

   

   

   

O conector e o fluxo de serviço no OCI estão prontos. Em seguida, vamos configurar o Azure Sentinel para extrair logs desse fluxo.

Tarefa 4: Ativar o Microsoft Sentinel e instalar a solução OCI do hub de conteúdo

1. A primeira etapa é adicionar o Microsoft Sentinel a um espaço de trabalho existente ou criar um novo. Consulte a documentação de início rápido do Sentinel para obter pré-requisitos e permissões.

2. Acesse o portal do Azure.

3. Procure e selecione Microsoft Sentinel, Selecione Adicionar, Selecione o espaço de trabalho, Adicionar Microsoft Sentinel.

4. No Sentinel, selecione Hub de conteúdo. Procure a solução Oracle Cloud Infrastructure e clique em Instalar.

   

Tarefa 5: Configurar o conector de dados: Oracle Cloud Infrastructure (usando o Azure Functions)

1. Depois que a solução OCI for instalada, clique em Gerenciar.

2. Selecione o conector de dados Oracle Cloud Infrastructure (usando o Azure Functions), página de conector aberto. Inicialmente, mostra como desconectado.

   

   

3. No lado direito, selecione o botão Implantar no Azure. Preencha todos os detalhes.

   • Você pode encontrar ID do espaço de trabalho do Microsoft Sentinel e chave compartilhada na página do conector de dados. Os valores de usuário, impressão digital, Tenancy e região podem ser extraídos do snippet de visualização do arquivo de configuração do OCI.

   • Observação: Na console do OCI, clique nos três pontos no lado direito da impressão digital necessária para visualizar o trecho de código do arquivo de configuração correspondente.

   • Você pode extrair o ponto final de mensagem e o ocid de fluxo, em informações de Fluxo do Fluxo que criamos no OCI.

   • Depois que todos os detalhes forem preenchidos, marque a caixa de seleção: Concordo com os termos e condições mencionados acima e clique em Compra a ser implantada.

     

4. Ao implantar, um aplicativo de função do Azure é criado automaticamente. Você pode verificar o status de execução do aplicativo. O conector de dados aparece como "conectado" após algum tempo.

   • Para exibir os logs, navegue até Sentinel, Logs, Tabelas, Tabelas Personalizadas.

   • Clique duas vezes em OCI_Logs_CL (tabela personalizada criada pelo aplicativo de função do Azure) para que a tabela apareça no espaço de consulta. Selecione o "período" e clique em Executar. Agora você pode exibir e gerenciar os logs do OCI no Sentinel.

     

Links Relacionados

• Oracle Cloud Infrastructure Streaming

• Hub Conector do OCI Service

Aquisições

Autor - Lasya Vadavalli (Engenheiro de Nuvem Sênior - IaaS)

Mais Recursos de Aprendizagem

Explore outros laboratórios no site docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal YouTube do Oracle Learning. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.

---

Título e Informações de Copyright

Send Oracle Cloud Infrastructure logs to Microsoft Azure Sentinel using OCI Streaming service

F84624-01

July 2023

Copyright © 2023, Oracle and/or its affiliates.